Verschlüsselung wird Pflicht: WordPress forciert HTTPS ab 2017

Matt Mullenweg macht Ernst. Nachdem er seine eigene Blog-Plattform WordPress.com schon vor Monaten mittels Zertifikaten von Let’s Encrypt auf HTTPS, also SSL, umgestellt hat, will er diese Entwicklung in 2017 auch für selbst gehostete Installationen unterstützen.

10 neue WordPress-Themes

SSL auf einer Stufe mit JavaScript und PHP

In einem Beitrag für den offiziellen WordPress-Blog macht Mullenweg deutlich, wo er SSL verortet. Danach ist die Verschlüsselung per HTTPS für ihn die dritte Säule im WordPress-Kernkonstrukt, neben JavaScript und PHP.

Entsprechend will er dafür sorgen, dass WordPress-Installationen dieser Bedeutung Rechnung tragen. Beginnend mit dem Jahr 2017 wird WordPress nur noch solche Hosting-Provider promoten, die SSL-Zertifikate standardmäßig für ihre Produkte aktiviert haben. Das ist aktuell nur bei wenigen der Fall. Ebenso will Mullenweg ab nächstem Jahr solche Provider bevorzugt empfehlen, die die aktuelle PHP-Version 7 für ihre Pakete anbieten.

WordPress-Sicherheit: Die XML-RPC-Schnittstelle abschalten

Im weiteren Verlauf des Jahres wird das WordPress-Team dann evaluieren, welche Features besonders von SSL profitieren würden, etwa die Authentifizierung gegenüber der API. Nachfolgend werden die so erkannten Features nur noch verfügbar sein, wenn SSL im Blog aktiviert ist. Das dürfte schon ein probates Druckmittel werden.

Auch Google macht (noch mehr) Ernst mit SSL

Dazu passend dürfen wir ab Januar 2017, nach Einführung von Chrome 56 erwarten, dass Googles Browser bei unsicherer Formularübertragung von etwa Passwörtern unverblümt darauf hinweisen wird. Direkt am Formularfeld wird Chrome einen Hinweis wie “Not secure” einblenden, was sicherlich viele Verwender deutlicher abschrecken wird als das bisherige unscheinbare Icon zum Thema.

In Kombination der Maßnahmen entsteht ein berechtigter Druck auf Seitenbetreiber, ihre Angebote ebenfalls mit Verschlüsselung zu betreiben. Da SSL ganz generell auch ein Ranking-Faktor ist, solltest du selbst dann über Verschlüsselung nachdenken, wenn du keine sicherheitsrelevanten Datenübertragungen auf deiner Website durchführst.

Wie du schon jetzt ein SSL-Zertifikat für deinen WordPress-Blog oder deine Website einsetzen kannst und wie einfach das mit Let’s Encrypt geht, haben wir in diesem Beitrag erläutert.

ist seit 1994 im Netz unterwegs, aber bereits seit über 30 Jahren in der IT daheim. Seit Anfang des neuen Jahrtausends schreibt er für diverse Medien, hauptsächlich zu den Themenfeldern Technik und Design. Man findet ihn auch auf Twitter und Google+.

Sortiert nach:   neueste | älteste | beste Bewertung
Mario
Gast

Ich habe auch mal angefangen, meine Projekte entsprechend umzustellen. Interessant wird es, wie im Browser eine nicht verschlüsselte Seite hervor gehoben wird.

wpDiscuz